Nach dem Gerichtsurteil des LG München I vom 19.01.2022 (Az. 3 O 17493/20) zur Einbindung von Google Fonts auf einer Website kam es, wie es wohl kommen musste: Eine Abmahnwelle überrollt das Land.

Noch immer wissen viele Webseitenbetreiber bzw. Webagenturen nicht, wie kostenfreie Google Fonts korrekt in Webseiten eingebunden werden. Es hat sich offenbar immer noch nicht herumgesprochen, dass bei der seitens der Google LLC. angebotenen dynamischen Variante bei jedem Aufruf der Webseite eine Verbindung zu den Servern von Google aufgebaut und die benötigte Schriftart geladen wird. In der Folge wird bei einem Verbindungsaufbau die IP-Adresse eines jeden Webseitenbesuchers an Google übertragen. Da eine dynamische IP-Adresse als personenbezogenes Datum gilt, wird letztlich rechtswidrig in der Verantwortung des Webseitenbetreibers ein personenbezogenes Datum des Besuchers seiner Webseite (nämlich dessen IP-Adresse) in ein unsicheres Drittland (die USA) übertragen.

Das LG München I hat im genannten Prozess der klagenden Partei Schmerzensgeld von 100,00 EUR zugesprochen. Unter Berücksichtigung der Prozesskosten ist es in der Tat schmerzhaft für den Verursacher, den Webseitenbetreiber, aber glimpflich abgelaufen, wenn es bei nur einer Klagepartei bleibt, denn es könnte jeder Webseitenbesucher klagen.

Lässt sich so etwas verhindern? Ja, und zwar sogar recht einfach, indem die gewünschte Google-Schriftart lokal auf dem eigenen Server eingebunden wird. Die beauftragte Agentur dürfte wissen, wie das funktioniert. Für diejenigen, die alles selbst machen, gibt es reichlich Anleitungen dazu im Internet.

Wie geht man mit einer Abmahnung um, wenn sie auf dem Schreibtisch liegt? Da gibt es zwei Möglichkeiten: Entweder man zahlt und löst dann ganz schnell das Problem mit der Schriftart, indem man sie lokal einbindet. Oder man nimmt sich einen Anwalt, der sich mit den Themen IT-Recht und Datenschutzrecht auskennt und geht gegen die Abmahnung vor und löst ebenfalls ganz schnell das Problem mit der Schriftart, indem man sie lokal einbindet.

Rechtlich bewerten können und wollen wir die Abmahnproblematik nicht. Wir wissen nur: Der Abruf der Google Fonts vom direkt Server bei Google ist datenschutzrechtlich als problematisch einzustufen.

Kann man das selbst erkennen? Ja, kann man! Indem man z.B. die Webseite des eigenen Unternehmens scannt. Vorzugsweise macht man das sogar regelmäßig, weil man nie weiß, ob sich nicht durch irgendein Tool ein Fehler durch die Hintertür einschleicht. Wir empfehlen unser Produkt WEBSITE-SCAN!

Und ja, Google Fonts kommen auch durch die Hintertür auf die Website! In der Mehrzahl der Fälle kommen sie durch andere Google Tools, wie z.B. durch Google Maps oder durch Google reCaptcha usw. daher! Also Vorsicht beim Einbau von neuen Tools in die Webseite! Aber auch hier hilft der WEBSITE-SCAN und zeigt, ob es datenschutzrechtliche Probleme mit dem neuen Tool gibt. Und ganz nebenbei wird auch gleich der neue Datenschutzhinweis zur Verfügung gestellt. Siehe mehr unter WEBSITE-SCAN!

Ihr Team vom DSGVO-Service!

Die Bedingungen für die Verhängung eines Bußgeldes bei Datenschutzverstößen richten sich nach Art. 83 DSGVO. Bußgelder müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein. Bei der Entscheidung darüber, ob und in welcher Höhe eine Geldbuße verhängt werden soll, werden unter anderem Art, Schwere und Dauer des Verstoßes gebührend Berücksichtigung finden. Auch das Ausmaß des erlittenen Schadens, vorsätzliches oder fahrlässiges Handeln und die Art der personenbezogenen Daten, die von dem Verstoß betroffen sind, können eine Rolle spielen. Zu berücksichtigen sind auch der Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen getroffenen technisch-organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten, die von ihr Unternehmen verarbeitet sowie einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters und ihr Umfang der Zusammenarbeit mit den Aufsichtsbehörden. Je nach Art und Schwere des Verstoßes sieht die DSGVO Bußgelder von bis zu 20 Mio. Euro oder 4 Prozent des weltweit erzielten Jahresumsatzes vor.

Das Bußgeldkonzept der Datenschutzkonferenz

Im Oktober 2019 hat die Datenschutzkonferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ein Bußgeldkonzept verabschiedet. Es lieferte den Datenschutzbehörden eine einheitliche Methode, um Geldbußen zu bemessen. Eines der Ziele war es sicherlich, klarzustellen, dass Unternehmen mit hohen Bußgeldern rechnen müssen, wenn sie die Vorgaben der DSGVO nicht beachten.

Mit dem Bußgeldkonzept der DSK wurde die Höhe des Bußgeldes an den Umsatz gebunden. So konnte in etwa abgeschätzt werden, wie hoch es je nach Schwere der Tat in etwa ausfallen wird. Inzwischen sind auch eine Reihe von DSGVO-Bußgeldrechnern im Netz verfügbar.

Die Höhe der DSGVO-Bußgelder ist in jedem Fall an den globalen Vorjahresumsatz geknüpft. Der Umsatz-Begriff bezieht sich auf den der „wirtschaftlichen Einheit“, also den des gesamten Konzerns. Daran bemisst sich das Bußgeld auch dann, wenn der DSGVO-Verstoß einem Tochterunternehmen zuzuordnen ist.

Unternehmen, deren Produkte oder Dienstleistungen geringe Gewinnmargen aufweisen, haben bei dieser Bußgeldberechnung enorme Nachteile gegenüber solchen mit hohen Gewinnmargen. Sie bezahlen bei gleich hohem Umsatz verhältnismäßig höhere Bußgelder.

Im Bußgeldkonzept der DSK gibt es weiter eine Gewichtung nach leichten, mittleren, schweren und sehr schweren Verstößen. Bei dieser Gewichtung eröffnen sich Auslegungsspielräume und Benachteiligungsmöglichkeiten für betroffene Unternehmen.

Ein weiteres Problem des Bußgeldkonzepts des DSK ist, dass mehrere Einzelverstöße bis dato aufsummiert werden, also beachtliche und teils kaum zu bewältigende Gesamtstrafen gebildet werden könnten. Dies scheint unausgewogen.

Urteil des LG Bonn vom 11.11.2020

Das LG Bonn (Az: 29 OWi-430 Js-OWi 366/20-1/20) hält eine rein umsatzbezogene Bußgeldberechnung, wie es aktuell das Bußgeldkonzept der DSK vorsieht, für unverhältnismäßig. Der Umsatz des Unternehmens sei kein Zumessungsgesichtspunkt nach Art. 83 Abs. 2 DSGVO. Auch wenn der den gesamten Konzernumsatz umfassende Umsatz für die Ahndungsempfindlichkeit ein wesentlicher Faktor sei, stelle er nur einen von vielen Faktoren dar.

Eine reine Umsatzbezogenheit versage

1. bei leichten DSGVO-Verstößen von umsatzstarken Unternehmen und
2. bei schweren DSGVO-Verstößen von umsatzschwachen Unternehmen.

Im ersten Fall führe dies zu unverhältnismäßig hohen, im zweiten Fall zu unverhältnismäßig niedrigen Bußgeldern. Laut LG Bonn müsse die Einbeziehung tatbezogener Faktoren berücksichtigt werden.

Damit stehen wir an dem Punkt, an wir im September 2019 standen: Die Höhe eines Bußgeldes lässt sich derzeit nicht annähernd bestimmen. Mit den Bußgeldrechnern im Netz kommen wir augenblicklich nicht weiter!

Fazit

Aber es geht auch anders. Niemand muss sich um Bußgelder Gedanken machen, wenn die DSGVO im Unternehmen umgesetzt wird!

• Abonnieren Sie den DSGVO-Service und nutzen Sie die Vorteile!
• Vollständige Erstellung der gesetzlich erforderlichen DSGVO-Dokumentation!
• Sichere Website! (Datenschutzerklärung und Check Ihres Impressums)
• DSGVO-Notfallhilfe! durch zertifizierte Datenschutzbeauftragte
• Und das alles zu unschlagbar günstigen Preisen!

Einfach mal auf der Webseite umschauen, was alles an Leistungen im DSGVO-Service enthalten ist! Umschauen und staunen!

Ihr Team vom DSGVO-Service!

Neue Leitlinien des EDSA zur Berechnung von Bußgeldern

Alles neu macht der Mai: Am 12. Mai 2022 verabschiedete der Europäische Datenschutzausschuss (EDSA) neue Leitlinien zur Berechnung von Bußgeldern im Rahmen der Datenschutz-Grundverordnung (DSGVO) mit dem Ziel, die Handhabung der datenschutzrechtlichen Bußgeldbestimmungen europaweit zu vereinheitlichen.

Die Leitlinien sehen folgende Schritte zur Berechnung von Bußgeldern vor:

Identifizierung der betroffenen Verarbeitungsvorgänge (Kategorien der betroffenen Daten); dabei sind insbesondere Art, Schwere und Dauer des Verstoßes (Stichworte Fahrlässigkeit, Vorsatz) sowie der Umsatz des betroffenen Unternehmens zu berücksichtigen. Anschließend erfolgen eine Einstufung der Schwere des Verstoßes und die Ermittlung des sogenannten Ausgangsbetrages. Erschwerende sowie mildernde Umstände werden in die Erwägungen einbezogen. Im letzten Schritt wird überprüft, ob das zu verhängende Bußgeld zugleich wirksam, abschreckend und verhältnismäßig ist. Erforderlichenfalls wird das Bußgeld angepasst.

Bei der Ermittlung des Ausgangsbetrages wird in drei Kategorien unterschieden, in geringe, in mittlere und in schwerwiegende Verstöße. In der ersten Kategorie liegt der Ausgangsbetrag für die weitere Berechnung zwischen 0 und 10% des geltenden gesetzlichen Höchstbetrages, in der zweiten zwischen 10 und 20% und in der dritten zwischen 20 und 100%. Je schwerer der Verstoß innerhalb einer Kategorie, desto höher wird der Ausgangsbetrag sein.

Da das Konzept an den (Konzern-)Umsatz angelehnt ist, wird auch künftig mit empfindlichen Geldbußen zu rechnen sein.

Ihr Team vom DSGVO-Service!

Machen Sie den Datenschutz-Check!

Wie weit sind Sie mit der Umsetzung der DSGVO in Ihrem Unternehmen? Wir haben einen kurzen Check – der keinen Anspruch auf Vollständigkeit erhebt – für Sie vorbereitet. Beantworten Sie alle Fragen mit „JA“, sind Sie recht weit. Beantworten Sie die eine oder andere Frage mit „NEIN“, sollten Sie ins Grübeln kommen, ob Sie für Ihr Unternehmen etwas hinsichtlich der Umsetzung der DSGVO tun müssen. Alles, was Sie bis heute unterlassen haben und auch weiterhin versäumen, kann Sie eines Tages teuer zu stehen kommen.

Datenschutz auf der Unternehmenswebsite

Datenschutz außerhalb der Unternehmenswebsite

Fazit

Dies sind nur einige wenige beispielhafte Fragen. Antworten Sie mehr als einmal mit „NEIN“, dann setzen Sie die DSGVO nur unzureichend um und laufen Gefahr, früher oder später ein saftiges Bußgeld zu entrichten. Das muss nicht sein.

Abonnieren Sie den DSGVO-Service und sparen Sie bares Geld! Ihre Vorteile:

Ihre Zeit ist kostbar! Verschwenden Sie sie nicht, um sich mühevoll in BDSG/DSGVO einzuarbeiten.

Vermeiden Sie Ärger! Zertifizierte Datenschutzbeauftragte kümmern sich um Ihre DSGVO-Dokumentation und machen Ihr Unternehmen fit für den Datenschutz.

Sie können sich zurücklehnen und entspannen! Wir erledigen die lästige Pflicht für Sie!

Und das alles zu unschlagbar günstigen Preisen!

Einfach mal auf der Webseite umschauen, was alles an Leistungen im DSGVO-Service enthalten ist! Umschauen und staunen!

Ihr DSGVO-Service-Team!

Der Schutz personenbezogener Daten ist ein Grundrecht

Der Schutz personenbezogener Daten ist in Art. 8 der Charta der Grundrechte der Europäischen Union verbrieft und wird durch die DSGVO gesichert. Auf nationaler Ebene dient das Bundesdatenschutzgesetz (BDSG) zur Sicherung der informationellen Selbstbestimmung von uns allen. Datensammeln und Sammelwut auf der einen Seite, Datenschutz auf der anderen Seite – harmlose Daten gibt es nicht mehr. Datenschutz beinhaltet den verantwortungsvollen Umgang mit personenbezogenen Daten und die Kenntnis und Ausübung/Anwendung der Rechte und Pflichten, die in DSGVO und BDSG und verwandten Gesetzen und Vorschriften niedergelegt sind. Die zu beachten sind Unternehmer, Unternehmen und Vereine aufgerufen. Fachanwälte, zertifizierte Datenschutzbeauftragte und Datenschutzberater beraten und begleiten sie dabei. Modernes Datenschutzrecht lebt weniger von Verbot und Kontrolle als von der Einbeziehung des Datenschutzes in Planung und Entwicklung.

Entwicklung der DSGVO-Beratung

Bei aller Bedeutung und Wichtigkeit des uns alle angehenden Themas Datenschutz: Auch die DSGVO-Beratung muss sich entwickeln und an die Erfordernisse der Unternehmer, Unternehmen und Vereine anpassen, wenn sie mit der Zeit mithalten will. Ein Faktor, der es den Verantwortlichen aus unserer Sicht erschwert, mit der DSGVO und dem BDSG umzugehen, sind die komplexen Aufgaben, vor die sie gestellt werden. Manche Formulierungen in den Vorschriften sind nur schwer verständlich und haben mit dem Tagesgeschäft wenig bis gar nichts zu tun. Mit fachanwaltlicher Begleitung oder einem Datenschutzexperten an der Seite geht es zwar besser – aber die Umsetzung ist auch umständlich. Die logische Konsequenz liegt im Ruf nach Einfachheit und Unkompliziertheit.

Man kann es drehen und wenden, wie man will - eine persönliche Beratung mit Spezialisten vor Ort ist und bleibt zeitaufwendig und teuer. Halten wir die Kosten der DSGVO-Umsetzung in einem Unternehmen hoch wie bisher, bleibt die Akzeptanz der Verordnung niedrig und die Versuchung groß, alles daran zu setzen, jede Beschäftigung mit dem Thema Datenschutz zu vermeiden. Daraus folgt, dass die Akzeptanzschwelle für den Einstieg in das Thema DSGVO sinken wird, wenn es gelingt, die Kostenbelastung für die DSGVO-Umsetzung zu reduzieren.

Der DSGVO-Service schützt einfach, unkompliziert und kostengünstig

Und damit war die Aufgabenstellung einfach. Es musste eine Lösung her, die einfach, unkompliziert und kostengünstig ist. Eine Lösung wie unser DSGVO-Service! Der Unternehmer oder das Unternehmen meldet sich bei unserem Service an und beantwortet einige Fragebögen. Relativ leicht zu beantwortende Fragen, denn es geht um das eigene Unternehmen. Der überwiegende Teil der Antworten ist mit Ja oder Nein einfach gehalten. Geht es mal gar nicht weiter, dann wird bei uns angerufen. Oder eine Mail geschrieben. Und die Fragebögen können jederzeit an beliebiger Stelle unterbrochen und später fortgesetzt werden! Wir generieren aus Ihren Antworten dann die DSGVO-Dokumentation für Ihr Unternehmen. Einige Dokumente müssen Sie noch hochladen – ein Abschlussgespräch per Videocall – fertig! Und das zu unschlagbar günstigen Preisen. Was will man mehr, nein, weniger (bezahlen), wenn es um die Umsetzung der DSGVO und die Vermeidung von Bußgeldern geht.

Und einfach mal auf der Webseite umschauen, was alles an Leistungen enthalten ist! Umschauen und staunen!

Ihr Team vom DSGVO-Service!